威脅分析與風險評估

威脅分析與風險評估（Threat Analysis and Risk Assessment）簡稱TARA，是識別、評估及管理威脅及風險的工具。此方法可以用來管理IT相關威脅的風險，在汽車網路安全標準ISO/SAE 21434的第15章^[1]，也有定義相同名稱的方法，用在汽車網路安全上。TARA讓組織可以識別潛在的危害及風險，提出適當的對策，以提升其系統、網路及資料的安全性^[2]。

依照MITRA（英语：MITRA）所述，IT應用的TARA流程是由以下幾個步驟所組成^[3]。

1. 系統及資訊建模：識別要保護的系統、網路及資料，並以簡圖呈現其關係。
2. 威脅識別：識別系統、網路及資料中潛在的威脅及弱點。
3. 風險評估：用識別到威脅及弱點的可行性，以及其影響的程度評估其風險。
4. 風險處置：選擇適合的措施，來減少或消除識別到的風險。
5. 監控及審查：定期的監控所實施的措施，確認是否有效，若有需要，也可以再進行調整。

依照ISO/SAE 21434，汽車網路安全的TARA可以分為以下的步驟：

1. 資產識別：找到網路安全資產，以及其擁有的網路安全屬性（機密性、完整性及可用性）。
2. 威脅場景識別：找到資產的網路安全屬性可能會受到威脅的場景，並加以說明。
3. 影響評級：針對資產的網路安全屬性被破壞，用安全、財產、運作及隱私四個層面來評估影響。
4. 攻擊路徑分析：利用攻擊樹分析，找到可以造成威脅場景的攻擊路徑。
5. 攻擊可行性等級：根據攻擊路徑的內容評估其攻擊可行性
6. 風險確認：針對每一個威脅場景，用攻擊可行性以及安全、財產、運作及隱私四個層面的影響評級，評估這四個層面的風險，風險值以1-5表示。
7. 風險處理確認：依風險大小決定要如何處理風險。

IT應用中的TARA可以用在許多的場合中，例如：

• IT安全：識別使用資訊科技時，會出現的威脅和風險，並加以處理。
• 風險管理：在商業流程、專案及決策時，評估及處理風險。
• 合規：確認有符合安全標準、法律規範以及最佳實務。

汽車網路安全的TARA可以用在以下的場合：

• 在產品概念定義時，確認風險大小、安全目標，及要如何處理風險。
• 在需求分析及架構設計時，確認是否有未考慮到的風險。
• 在測試驗證時，確認TARA是否完整，是否有未考慮到的風險。
• 在持續網路監控時，也是運用TARA新發現漏洞的風險及影響。

組織進行TARA有以下的優點：

• 系統化的識別會影響系統、網路及資料安全性的威脅和風險，並且加以評估。
• 可以協助選擇措施，並且依照特定威脅及風險調整，然後實施。
• 透過對實務措施的持續監控及改善，可以提昇IT安全及風險管理。
• 有助於符合安全標準、法規需求以及最佳實務。

TARA方法有其優點，但也有其缺點。

TARA方法的品質會依進行此流程的知識和經驗有很大的變化。若相關知識不足，有可能無法完整識別威脅和風險，或是識別錯誤。TARA方法需要有持續監控並且評審的流程，確保所實施的措施是有效的。對於小的組織來說，這很花時間，也需要許多的資源。TARA方法有時也可能高估了風險，造成組織過度的安全措施，並且產生不必要的支出。

• ISO/IEC 27005（英语：ISO/IEC 27005）：ISO有關資訊風險管理（英语：IT risk management）的標準
• NIST SP 800-30：美國NIST風險評估的指南
• OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）：CERT協調中心提出的方法
• 資訊風險因素分析（英语：Factor analysis of information risk），簡稱FAIR

1. ^ International Organization for Standardization. ISO/SAE 21434, Anhang H. [2023-04-26]. （原始内容存档于2021-04-08）. 
2. ^ Cybersecurity als Herausforderung im Produktlebenszyklus von Autos. [2023-04-27]. （原始内容存档于2023-05-01） （德语）. 
3. ^ Threat Assessment and Remediation Analysis (TARA) Overview (PDF). Mitre Corporation. [2023-04-27]. （原始内容存档 (PDF)于2023-05-31）. 

• Andreas Puder, Jacqueline Sax, Eric Henle. Threat Assessment and Risk Analysis (TARA) for Interoperable Medical Devices in the Operating Room Inspired by the Automotive Industry 28. MPDI. 2023. doi:10.5445/IR/1000157846 （英语）. 
• Georg Macher, Eric Armengaud, Eugen Brenner, and Christian Kreiner. A Review of Threat Analysis and Risk Assessment Methods in the Automotive Contex 28. 2016. doi:10.1007/978-3-319-45477-1_11 （英语）. 

• NIST Cybersecurity Framework （页面存档备份，存于互联网档案馆）
• ISO/IEC 27005: Informationssicherheits-Risikomanagement （页面存档备份，存于互联网档案馆）
• security-analyst.org: Knowledge Base Risk Assessment （页面存档备份，存于互联网档案馆）